Auditbeatは/usr/sbin/cronを除外します。

Auditbeatは/usr/sbin/cronを除外します。

KQL 要求: auditd.summary.how :"/usr/sbin/cron" で見つかる実行中の cron ジョブからイベントを除外しようとしています。

私のホストはSE Linuxを実行していないので、私が見つけたルール(以下に示す)は機能しません。

-a never,user -F subj_type=crond_t
-a exit,never -F subj_type=crond_t

私はこれを試みます:

-a never,user -F exe=/usr/sbin/cron

もう仕事をする必要はありません。

助けてくれてありがとう。

ベストアンサー1

それで、もう少し検索した後、これがうまくいくことがわかりました。

- module: auditd
  # Load audit rules from separate files. Same format as audit.rules(7).
  audit_rule_files: [ '${path.config}/audit.rules.d/*.conf' ]
  audit_rules: |
    ## Define audit rules here.
    ## Create file watches (-w) or syscall audits (-a or -A). Uncomment these
    ## examples or add your own rules.

    ## If you are on a 64 bit platform, everything should be running
    ## in 64 bit mode. This rule will detect any use of the 32 bit syscalls
    ## because this might be a sign of someone exploiting a hole in the 32
    ## bit API.
    #-a always,exit -F arch=b32 -S all -F key=32bit-abi

    ## Executions.
    #-a always,exit -F arch=b64 -S execve,execveat -k exec

    ## External access (warning: these can be expensive to audit).
    #-a always,exit -F arch=b64 -S accept,bind,connect -F key=external-access

    ## Identity changes.
    -w /etc/group -p wa -k identity
    -w /etc/passwd -p wa -k identity
    -w /etc/gshadow -p wa -k identity

    ## Unauthorized access attempts.
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EACCES -k access
    -a always,exit -F arch=b64 -S open,creat,truncate,ftruncate,openat,open_by_handle_at -F exit=-EPERM -k access

  processors:
    - drop_event:
        when:
          equals:
            process.executable: "/usr/sbin/cron"

興味深い部分は次のとおりです。

processors:
        - drop_event:
            when:
              equals:
                process.executable: "/usr/sbin/cron"

「/usr/sbin/cron」プロセスの実行中に、 auditbeat にイベントを削除するよう依頼します。

おすすめ記事